從NTA到NDR:看流量分析的演進
XDR是這兩年來安全行業的熱詞。事實上,將XDR拆分來看,也代表了網絡安全發展的兩個方向。
首先是“X”,代表著“Extended”——安全需要擴展。前幾年火熱的“EDR”已經不足以構筑安全的防線了——僅靠端點上的防御是無法真正掌握自身的安全態勢的。安全需要擴展,這并非是增加單獨的安全能力,而是需要能夠相互聯系,才能實現真正意義上的“擴展”。
其次是“DR”,代表著“Detection and Response”——安全不僅僅需要檢測,也需要響應。傳統的安全理念是對攻擊進行各種堵截,但是顯然隨著攻擊的變化越來越快,將所有攻擊完全提前摸透并進行防御,幾乎是不現實的。因此,企業更需要的是能夠當攻擊發生時及時知曉,并且能夠采取適當的行動進行響應。
這就是當下安全發展的一個趨勢:需要不同安全能力之間配合,形成檢測與響應的防御體系。因此,在在基于端點安全能力的EDR建設之上,基于流量的NDR也會越來越受到關注。
NTA的局限性
基于流量的安全能力始終都受到關注。安全研究人員一直都明白在萬物互聯時代,流量的重要性。NTA的出現代表了安全行業對流量的重視。
然而,NTA,正如其名“Network Traffic Analysis”——網絡流量分析,其主要能力在于對流量進行分析。Gartner對NTA的定義是“運用機器學習、高級分析和規則檢測等多種技術對企業網絡中的可疑行為進行檢測”。但是,NTA的出發點依然是就流量進行檢測,使用的能力還是局限在對流量的分析上;同時盡管Gartner認為NTA需要能夠運用機器學習和高級分析的技術,但是在實現階段,受限于當時的技術能力,還是以規則匹配為主,導致NTA本身在檢測和分析層面的能力同樣不理想。
企業對于流量的分析,目的是要能夠識別真正會對自身環境產生影響的威脅——而不僅僅是可疑行為。NTA的檢測結果往往會產生大量的告警——任何可疑行為引起注意,安全人員則會被淹沒在海量的告警之中,無法精確發現真正需要解決的問題——那些已經對攻擊成功的事件。
另一方面,即使NTA能夠識別企業環境中的可疑行為,然后呢?
對于企業而言,發現問題只是第一步,還需要解決問題。NTA在這一方面顯然還不夠完善。這時,NDR就應運而生——NDR不僅僅是為了呼應EDR的另一個“DR”,NDR本身也是基于企業“不止檢測,也要響應”的安全需求而出現的。
基于流量的安全的一大步
從單純的分析到有能力進行響應,是基于流量的安全的一大步。從當前來看,響應手段確實非常有限,除了阻斷、隔離之外并沒有太多其他有效的措施,但是在具體操作時,“如何合理地阻斷”則是一個至關重要的問題。安全是需要保障業務運行的,如果為了安全使得業務無法運作,就本末倒置。從檢測到響應的跨度,是需要在檢測可疑行為的基礎上,能夠將流量的可疑情況與業務相關聯,更進一步了解流量與業務的關系,明確可疑行為可能產生的后果,并且提出合適的阻斷策略,從而引導相關安全人員做出正確的決策。
除了增加了響應能力,NDR的檢測能力相對NTA也有極大的改變。除了規則匹配能力,NDR的檢測能力還融合了機器學習、威脅情報等多維度的能力。
先看一下EDR的局限性:
- 成本高:EDR需要部署在被保護的端點上,而隨著企業IT環境規模增大,端點數量增多,成本也會大幅度提升。
- 影響業務:EDR需要直接部署在端點上的另一個問題,在于EDR的存在可能會影響業務的性能。對于業務敏感性高的組織,承載業務能力的端點又恰恰是最需要保護的對象,但是EDR的存在又可能反而影響業務的性能,這就成了另一個安全與業務的矛盾點。
- 易被繞過:因為EDR會在端點存在一定的對抗能力,反而容易被攻擊者針對,通過主動對抗的方式對EDR進行逆向,摸清EDR的檢測規則進行繞過。同時,現有的EDR多以hook技術為主,容易被攻擊者采取針對性的方式進行繞過。
- 還原局限性:由于EDR能采集的信息局限在端點,很難從整體環境對整個安全事件進行還原。只能在端點側進行還原,無法對整個威脅的流動進行還原。
而NDR恰恰在這幾個問題上有自己的優勢:
- 成本低:NDR部署在環境的流量出入口處,能夠獲取整個環境對外的交互情況,但是由于部署的位置較少,在作用于同等大小的網絡環境時,NDR的成本會遠低于EDR。如果從企業整體的安全投入收益角度來看,NDR的建設優先級高于EDR。
- 業務零影響:NDR在流量出入口旁路部署,對業務幾乎無影響。
- 靜默無感知:旁路部署不僅僅對業務的影響小,同時處于靜默狀態,對攻擊者而言也是透明的,使得攻擊者更難針對性攻擊。同時,處于靜默狀態的NDR不直接進行對抗,攻擊者無法通過測試攻擊來掌握NDR的運行模式,從而對防御進行繞過。
- 更完整的威脅分析:由于NDR能夠對整個南北流量進行分析,可以對整個攻擊“路徑”進行更完善的復現,了解攻擊如何從外部進入,而不是只是在端點對攻擊的“結果”進行重演。
從NTA到NDR,不僅僅是檢測能力的提升與響應能力的增加,同時也是作為一項產品的全方面完善,將基于流量的安全能力更上一層樓。
NDR實踐之下的挑戰
盡管從NTA到NDR,對于企業而言,基于流量的安全能力有了極大的提升,但是NDR依然存在一些挑戰。
當前我國的網絡安全建設有兩大驅動力,分別是合規驅動,以及事件驅動。以EDR為例,EDR作為領先的終端防護能力,得益于合規中對終端防護的要求,在市場上有很大的影響力。另一方面,在EDR本身能力上,能夠對端點上發生的事件進行分析,實現一定的未知威脅檢測與防護能力;同時,對事件的進一步調查,可以達成溯源取證的效果。因此,EDR又能滿足基于攻防演練的“事件驅動”需求。
反觀NDR,在當前的合規要求下,相比于端點側,對于流量側的規范并不完善,企業對于基于流量的安全產品受合規的驅動力較小。而在演練場景下,當前NDR的實踐用例較少,企業對NDR的能力依然存在一定疑慮,也成為了NDR之后市場發展的挑戰。
另一方面,在實際檢測中,NDR也會在特定的使用場景中出現部分檢測盲區:首先,隨著加密流量越來越多,NDR也需要增強自身對流量解密的能力,如果解密能力跟不上,檢出率會大打折扣;其次,由于成本原因,企業在使用NDR時往往只部署在核心交換機處,雖然能夠掌握企業的南北向流量,但是不經過核心交換機、處于單個網絡區域內的東西向流量無法被NDR監聽,因此成為檢測與響應的盲區。
對于NDR市場驅動力的挑戰與解決方案的局限性,微步在線有自己的底氣。
首先,有NDR需求的企業客戶會在一些節點做流量的解密,以共NDR產品實現更完善的檢測和響應,同時微步TDP自身也具備比較好的流量解密能力,因此在加密流量日漸增加的當下,TDP仍舊能夠檢出流量中潛藏的威脅。
其次,用威脅情報強化自身的檢測能力,作為國內頂尖的威脅情報廠商,微步在線本身擁有豐富的威脅信息庫,對大量的攻擊來源、攻擊工具特征、最新漏洞利用等信息,從而能夠通過NDR,基于流量進行攻擊者畫像,在風險流量深入環境前采取措施,在南北向流量和不同核心交換機之間的東西流量中,只要TDP能覆蓋就可以做到較好的檢測響應。
最后,針對潛伏在單個網絡區域中的攻擊者,微步在線能夠用自身免費的閉源蜜罐HFish和TDP打通,從而對單個網絡區域內的橫向移動行為進行檢測。
“我們認為企業中發生的網絡攻擊在技術水平上符合二八定律,客戶遇到的80%的攻擊,技術水平都是中等偏下,這類攻擊TDP很容易檢出,而剩下20%就屬于具有針對性的APT攻擊,在檢測這些攻擊時,我們會依靠機器學習、模型和威脅情報技術去進行檢出,尤其我們情報的技術相比是最成熟的,所以我們在這20%方面也很有信心。”趙林林說。
流量上的攻防
對于防護產品而言,最重要的還是安全防護的效果。海量的告警相當于沒有告警,過高的誤報率會導致安全人員無法對真正的威脅進行追蹤;而攻擊者也正在越來越多通過0day漏洞等手段,直接繞過防御,產生漏報。
對安全團隊而言,能夠準確判定攻擊是否已經成功是非常重要的信息,這樣能讓安全人員將精力放在真正值得關注的安全事件上,從而有效提升自身的響應能力。因此,安全產品的效果,需要通過實戰的考驗,才能證明。
為了驗證NDR的能力,今年二月,微步在線就用自己的NDR產品威脅檢測平臺TDP向白帽子們發起了一次流量上的攻防挑戰——以為期兩周的線上眾測模式,檢驗參賽選手能否成功繞過自己的NDR產品,進行得分。在這次比賽中,微步在線放棄了NDR的靜默優勢,會將測試結果反饋給參賽選手,并允許參賽選手反復提交測試流量——這就相當于將NDR直接與參賽選手進行了對抗。在這樣的情況下,TDP的檢出率從第一周的98%,降到了第二周的93.7%。除了參賽選手能夠通過測試反饋針對性進行攻擊測試之外,還有大量的參賽選手使用0day漏洞進行攻擊測試;TDP對0day漏洞的檢出率在比賽過程中達到了50%。
僅靠非靜默狀態下的NDR就能做到對0day漏洞50%的檢出率,已經是一個不錯的結果了,但同樣意味著安全能力依然有提升的需要。在比賽結束后,微步在線針對繞過的0day漏洞對TDP進行了進一步的改進,檢出率提升到了98%。
沒有攻防的效果,就無法檢驗安全能力的價值。但是攻防技術又是反復演進的過程,只有不停通過實際的攻防實踐,發現自身產品的不足,才能持續輸出客戶需要的安全能力。這一次基于流量的對決,不僅僅是為了顯示微步在線NDR產品的能力,同時可以視為一次針對安全產品的眾測活動——只有能夠通過不同情況測試的安全產品,才是好的安全產品。趙林林透露,微步在線今后會舉行更多的眾測活動,可能是新產品的眾測,也可能是將本次挑戰賽常規化、周期性舉辦。
網絡安全的重心已經逐漸側向了檢測與響應的能力,在端點的檢測與響應之后,流量側的檢測與響應也應當被重視。隨著NDR技術的越來越成熟,檢測效果越來越顯著,安全的下一個流量時代或許即將來臨。
